Spoofing d'IP
Fermé
Narowen
Messages postés
159
Date d'inscription
mercredi 12 novembre 2008
Statut
Membre
Dernière intervention
19 mars 2015
-
3 févr. 2011 à 13:13
Narowen Messages postés 159 Date d'inscription mercredi 12 novembre 2008 Statut Membre Dernière intervention 19 mars 2015 - 7 févr. 2011 à 11:13
Narowen Messages postés 159 Date d'inscription mercredi 12 novembre 2008 Statut Membre Dernière intervention 19 mars 2015 - 7 févr. 2011 à 11:13
A voir également:
- Spoofing d'IP
- Ethernet n'a pas de configuration ip valide - Guide
- Comment connaître son adresse ip - Guide
- Ip local - Guide
- Comment savoir si quelqu'un utilise mon adresse ip - Guide
- Localiser adresse ip gratuit - Guide
10 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
3 févr. 2011 à 13:17
3 févr. 2011 à 13:17
Salut,
Sur ces 200 utilisateurs il y en a une cinquantaine qui travaille avec LEUR ordinateur portable
C'est mal.
Sur ces 200 utilisateurs il y en a une cinquantaine qui travaille avec LEUR ordinateur portable
C'est mal.
Narowen
Messages postés
159
Date d'inscription
mercredi 12 novembre 2008
Statut
Membre
Dernière intervention
19 mars 2015
19
3 févr. 2011 à 14:17
3 févr. 2011 à 14:17
C'est ce que je me tue à expliquer à la direction mais ils veulent pas comprendre... J'essaye de faire au mieux dans ces circonstances.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
Modifié par Malekal_morte- le 3/02/2011 à 14:24
Modifié par Malekal_morte- le 3/02/2011 à 14:24
bha faut des swichs qui gèrent le filtrage MAC
ou faire des vlan avec du filtrage MAC.
Comme ça les PC dont tu as pas accepté les adresses MAC se font jeter.
Mais ça règle pas le prb de ceux qui viennent avec des portables persos et qui sont autorisés.... et qui ont des PC pourris au final...
Parce que dans ces cas là, les merdes sont pas forcément intentionnelles....
Si le mec branche son portable et qu'il y a un rbot/sdbot dessus, tu pourries tout le réseau....
Remember when you were young, you shone like the sun.
Shine on you crazy diamond.
Now there's a look in your eyes, like black holes in the sky.
Shine on you crazy diamond.
ou faire des vlan avec du filtrage MAC.
Comme ça les PC dont tu as pas accepté les adresses MAC se font jeter.
Mais ça règle pas le prb de ceux qui viennent avec des portables persos et qui sont autorisés.... et qui ont des PC pourris au final...
Parce que dans ces cas là, les merdes sont pas forcément intentionnelles....
Si le mec branche son portable et qu'il y a un rbot/sdbot dessus, tu pourries tout le réseau....
Remember when you were young, you shone like the sun.
Shine on you crazy diamond.
Now there's a look in your eyes, like black holes in the sky.
Shine on you crazy diamond.
holybeer
Messages postés
383
Date d'inscription
jeudi 3 février 2011
Statut
Membre
Dernière intervention
29 novembre 2013
65
3 févr. 2011 à 14:26
3 févr. 2011 à 14:26
Réserve leur adresse grâce aux adresses mac ( c'est chiant ouai. Je sais )
bloque la plage qui n'est pas utilisée. M'enfin c'est bancal comme solution.
bloque la plage qui n'est pas utilisée. M'enfin c'est bancal comme solution.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
brupala
Messages postés
109406
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
18 avril 2024
13 617
3 févr. 2011 à 15:18
3 févr. 2011 à 15:18
Salut,
tu ne peux pas empêcher qu'ils se connectent avec des adresses fixes valides sur le réseau à partir du moment où ils ont le droit de se connecter avec une adresse dhcp.
la seule possibilité, serait de les empêcher de configurer leur carte réseau par une GPO, mais comme ils sont admins de leur poste et que de toute façon il n'est pas membre du domaine ...
Il faudrait expliquer aux responsables que cette façon de gérer un réseau est en dessous de tout au niveau sécurité et que tu t'en laves les mains en cas de problème.
PS,
heureusement que windows désactive l'interface réseau tout seul en cas de duplicate adresse, sinon ne te dis pas le bazar si l'un d'eux décide de configurer l'adresse d'un serveur sur son poste.
tu ne peux pas empêcher qu'ils se connectent avec des adresses fixes valides sur le réseau à partir du moment où ils ont le droit de se connecter avec une adresse dhcp.
la seule possibilité, serait de les empêcher de configurer leur carte réseau par une GPO, mais comme ils sont admins de leur poste et que de toute façon il n'est pas membre du domaine ...
Il faudrait expliquer aux responsables que cette façon de gérer un réseau est en dessous de tout au niveau sécurité et que tu t'en laves les mains en cas de problème.
PS,
heureusement que windows désactive l'interface réseau tout seul en cas de duplicate adresse, sinon ne te dis pas le bazar si l'un d'eux décide de configurer l'adresse d'un serveur sur son poste.
Narowen
Messages postés
159
Date d'inscription
mercredi 12 novembre 2008
Statut
Membre
Dernière intervention
19 mars 2015
19
4 févr. 2011 à 09:58
4 févr. 2011 à 09:58
Merci pour vos réponses. J'ai une GPO qui désactive la configuration de la carte réseau mais comme il ne se connecte pas sur le domaine, ça ne sert à rien.
D'après ce que vous me dites, la seul solution que je vois c'est d'autoriser uniquement la connexion aux personnes connecté sur le domaine et donc sous l'effet de mes GPO. Est-ce qu'un tel solution est possible ? Je sais qu'à présent avec NAP on peut interdira l'accès réseau si certaines conditions ne sont pas remplis comme antivirus à jour etc... pourrait-on tester si l'utilisateur est connecté au domaine et refuser la connexion si cette condition n'est pas remplis ?
D'après ce que vous me dites, la seul solution que je vois c'est d'autoriser uniquement la connexion aux personnes connecté sur le domaine et donc sous l'effet de mes GPO. Est-ce qu'un tel solution est possible ? Je sais qu'à présent avec NAP on peut interdira l'accès réseau si certaines conditions ne sont pas remplis comme antivirus à jour etc... pourrait-on tester si l'utilisateur est connecté au domaine et refuser la connexion si cette condition n'est pas remplis ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
4 févr. 2011 à 15:49
4 févr. 2011 à 15:49
Je comprends pas le but de la manip d'empécher la configuration IP fixe par des GPO ?!
brupala
Messages postés
109406
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
18 avril 2024
13 617
Modifié par brupala le 4/02/2011 à 16:04
Modifié par brupala le 4/02/2011 à 16:04
salut Malekal,
pour empêcher un peu que l'utilisateur lambda bidouille son adresse IP ... et foute la grouille sur le réseau
je ne vois pas bien où ça te parait surréaliste.
Le GPO sont le moyen le plus pratique pour déployer une configuration sécurisée sur un domaine.
pour empêcher un peu que l'utilisateur lambda bidouille son adresse IP ... et foute la grouille sur le réseau
je ne vois pas bien où ça te parait surréaliste.
Le GPO sont le moyen le plus pratique pour déployer une configuration sécurisée sur un domaine.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
Modifié par Malekal_morte- le 4/02/2011 à 16:14
Modifié par Malekal_morte- le 4/02/2011 à 16:14
bha c'est super limité la GPO dans son cas de figure....
si c'est des portables, s'il a une IP fixe déjà utilisée, c'est dans le cas où il a branché son portable chez un pote qui a la mm plage d'IP.... il branche ça va merder.
Au pire la GPO va plus le faire chier pour remettre comme il faut qu'autre chose (enfin il ouvre une session local et voila).
Si le gars est bidouilleur comme il le dit, il va pas s'embéter, il va se foutre en DHCP....
Et dans le cas d'un bidouilleur qui veux "nuir" bha la GPO ça servira à rien.
Ca reste de la bidouille qui va servir à rien, à mon avis.
si c'est des portables, s'il a une IP fixe déjà utilisée, c'est dans le cas où il a branché son portable chez un pote qui a la mm plage d'IP.... il branche ça va merder.
Au pire la GPO va plus le faire chier pour remettre comme il faut qu'autre chose (enfin il ouvre une session local et voila).
Si le gars est bidouilleur comme il le dit, il va pas s'embéter, il va se foutre en DHCP....
Et dans le cas d'un bidouilleur qui veux "nuir" bha la GPO ça servira à rien.
Ca reste de la bidouille qui va servir à rien, à mon avis.
brupala
Messages postés
109406
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
18 avril 2024
13 617
4 févr. 2011 à 16:43
4 févr. 2011 à 16:43
Dans tous les cas, si c'est un PC perso qui n'est pas memebre du domaine comme dit plus haut, la GPO de ne s'appliquera pas, elle n'est utile que sur des PC appartenant au domaine.
Ce qu'il faut faire là, c'est mettre les PC "invités" dans un réseau IP à part de préférence derrière un firewall bien configuré, pour que s'ils bidouillent leur adresse pour y mettre des adresses sensibles du réseau au moins, le routeur ne puisse pas les router.
Ce qu'il faut faire là, c'est mettre les PC "invités" dans un réseau IP à part de préférence derrière un firewall bien configuré, pour que s'ils bidouillent leur adresse pour y mettre des adresses sensibles du réseau au moins, le routeur ne puisse pas les router.
Narowen
Messages postés
159
Date d'inscription
mercredi 12 novembre 2008
Statut
Membre
Dernière intervention
19 mars 2015
19
4 févr. 2011 à 17:02
4 févr. 2011 à 17:02
Salut Malekal en effet pour les portables les GPO ne sont pas une solution elles sont présente pour sécuriser les postes fixes qui appartiennent à l'entreprise.
Mstr
Messages postés
9973
Date d'inscription
lundi 11 janvier 2010
Statut
Contributeur sécurité
Dernière intervention
28 septembre 2015
1 889
4 févr. 2011 à 10:05
4 févr. 2011 à 10:05
Salut,
Ça doit être la fête aux merdes sur le réseau, woohoo !
Dans ma boite, tu branche pas ton PC sur le réseau.
Aucun PC perso n'est autorisé, pas de DHCP (uniquement sur les 2 3 bornes wifi qu'on a).
C'est peut être chiant, de faire à la main les paramètres réseaux, mais au moins, ya rien qui traine dessus..
Aucun droits sur les PC (si ils veulent installer, ou changer un truc, faut en faire la demande).
Enfin le gars qui fait ce genre de chose, il se fait chier pour pas grand chose, et faut s'y connaitre un minimum quand même..
Ça doit être la fête aux merdes sur le réseau, woohoo !
Dans ma boite, tu branche pas ton PC sur le réseau.
Aucun PC perso n'est autorisé, pas de DHCP (uniquement sur les 2 3 bornes wifi qu'on a).
C'est peut être chiant, de faire à la main les paramètres réseaux, mais au moins, ya rien qui traine dessus..
Aucun droits sur les PC (si ils veulent installer, ou changer un truc, faut en faire la demande).
Enfin le gars qui fait ce genre de chose, il se fait chier pour pas grand chose, et faut s'y connaitre un minimum quand même..
Narowen
Messages postés
159
Date d'inscription
mercredi 12 novembre 2008
Statut
Membre
Dernière intervention
19 mars 2015
19
4 févr. 2011 à 11:18
4 févr. 2011 à 11:18
Hmm ce sont des étudiants donc il y en a pas mal qui s'y connaissent un peu et faire un ping puis changer sa configuration IP c'est pas une manip. très compliqué.
Molette4
Messages postés
589
Date d'inscription
vendredi 18 décembre 2009
Statut
Membre
Dernière intervention
10 novembre 2011
62
4 févr. 2011 à 18:21
4 févr. 2011 à 18:21
Pourquoi ne pas créer une étendue supplémentaire pour éviter les conflits ?
Narowen
Messages postés
159
Date d'inscription
mercredi 12 novembre 2008
Statut
Membre
Dernière intervention
19 mars 2015
19
7 févr. 2011 à 10:33
7 févr. 2011 à 10:33
Pourrais-tu être plus précis dans ta réponse stp. Je vois à peu près où tu veux en venir corrige moi si je me trompe. Je créé un nouveau sous-réseau exemple 10.210.23.0 /24 et 10.210.24.0 /24 je met tout les ordinateurs de l'entreprise dans un segment et les bornes wifi (portables des employers) dans un autre segment.
Disons que l'adresse du serveur est 10.210.23.3 Je suis un employer malintentionné et je me connecte au sous-réseau 10.210.24.0 /24 je modifie ensuite mes paramètres IP ma nouvelle adresse fixe est la même que le serveur c'est à dire 10.210.23.3 /24 Je suis d'accord que les postes de mon premier sous-réseau c'est à dire ceux de l'entreprise n'auront aucun problème mais les postes qui sont dans le sous-réseau de l'usurpateur eux ne pourront plus accéder au service de mon serveur. Est-ce exacte ?
Disons que l'adresse du serveur est 10.210.23.3 Je suis un employer malintentionné et je me connecte au sous-réseau 10.210.24.0 /24 je modifie ensuite mes paramètres IP ma nouvelle adresse fixe est la même que le serveur c'est à dire 10.210.23.3 /24 Je suis d'accord que les postes de mon premier sous-réseau c'est à dire ceux de l'entreprise n'auront aucun problème mais les postes qui sont dans le sous-réseau de l'usurpateur eux ne pourront plus accéder au service de mon serveur. Est-ce exacte ?
brupala
Messages postés
109406
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
18 avril 2024
13 617
7 févr. 2011 à 10:47
7 févr. 2011 à 10:47
Salut,
mais les postes qui sont dans le sous-réseau de l'usurpateur eux ne pourront plus accéder au service de mon serveur. Est-ce exacte ?
non ils ne devraient pas être gênés plus que les autres, car pour eux le serveur est sur un autre réseau, donc ils vont faire l'arp avec le routeur vers l'autre réseau, pas en local: ils ne pourront donc pas communiquer avec la machine qui a usurpé l'adresse car elle n'est pas dans le réseau IP qui convient: cette adresse ip hors réseau sera inaccessible de tout le monde (même depuis le routeur).
mais les postes qui sont dans le sous-réseau de l'usurpateur eux ne pourront plus accéder au service de mon serveur. Est-ce exacte ?
non ils ne devraient pas être gênés plus que les autres, car pour eux le serveur est sur un autre réseau, donc ils vont faire l'arp avec le routeur vers l'autre réseau, pas en local: ils ne pourront donc pas communiquer avec la machine qui a usurpé l'adresse car elle n'est pas dans le réseau IP qui convient: cette adresse ip hors réseau sera inaccessible de tout le monde (même depuis le routeur).
Narowen
Messages postés
159
Date d'inscription
mercredi 12 novembre 2008
Statut
Membre
Dernière intervention
19 mars 2015
19
7 févr. 2011 à 11:13
7 févr. 2011 à 11:13
Ah oui je comprend ! Merci beaucoup pour ces réponses je vais donc mettre ça en place.
aymeric.moulin
Messages postés
249
Date d'inscription
jeudi 28 août 2008
Statut
Membre
Dernière intervention
4 décembre 2011
5
4 févr. 2011 à 18:51
4 févr. 2011 à 18:51
Une manière simple mais que je sais pas comment l'appliquer, tu prend tes 200 pc et tu prend leur adresse mac. Tu fais de sorte à ce que le serveur n'accepte que les adresse mac. A partir de la je ne sais pas dutout comment on fait ça mais à titre de comparaison les anciennes générations de livebox ne pouvaient pas établir de connection tant que tu n'avait pas appuyé sur un bouton pour lui faire accepter les adresses mac qui vont tenter de se connecter dans les 10 min suivantes.
Narowen
Messages postés
159
Date d'inscription
mercredi 12 novembre 2008
Statut
Membre
Dernière intervention
19 mars 2015
19
7 févr. 2011 à 10:23
7 févr. 2011 à 10:23
ça ne règle aucun problème. Si je prend toutes les MAC des portables ce qui est déjà très compliqué car ils n'appartiennent pas à l'entrepris je serais forcé de les ajouter dans ce filtre par MAC car ces portables sont autorisé dans le réseau et ils pourront ensuite changer à leur guise la configuration IP ce que je ne souhaite pas.